Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
EU AI Act

EU AI Act für Energieversorger: KI in kritischer Infrastruktur

Welche AI-Act-Pflichten auf Energieversorger zukommen, warum KI im Netzbetrieb als kritische Infrastruktur eingestuft wird und wie sich Compliance mit NIS2 verzahnt.

Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO
·3 min read
In this article
  1. Wo KI im Energiesektor Hochrisiko wird
  2. Die Verzahnung mit NIS2
  3. Robustheit und Cybersicherheit als Schwerpunkt
  4. Menschliche Aufsicht im Netzbetrieb
  5. Daten-Governance bei Mess- und Sensordaten
  6. Compliance als Teil der Versorgungssicherheit
  7. Was zu tun ist
  8. Dokumentation für Audit und Aufsicht

Energieversorger setzen KI zunehmend an neuralgischen Stellen ein: zur Lastprognose, zur Netzstabilisierung, zur vorausschauenden Wartung von Anlagen, zur Steuerung dezentraler Erzeuger und zum Handel an den Strommärkten. Genau diese Anwendungen berühren den EU AI Act an einer besonders sensiblen Stelle, weil das Stromnetz kritische Infrastruktur ist und Fehlfunktionen weitreichende Folgen haben. Für die Energiebranche ergibt sich daraus ein eigenes Compliance-Profil, das sich von dem anderer Sektoren unterscheidet.

Wo KI im Energiesektor Hochrisiko wird

Anhang III des AI Act nennt unter anderem KI-Systeme, die als Sicherheitskomponenten beim Betrieb kritischer Infrastruktur eingesetzt werden — und der Energiesektor gehört zum Kern dieser kritischen Infrastruktur. Ein KI-System, das unmittelbar in die Steuerung oder den sicheren Betrieb des Stromnetzes eingreift, kann damit als Hochrisiko-System einzustufen sein. Nicht jede KI im Unternehmen fällt darunter: Ein Modell zur Optimierung der Bürobeleuchtung ist es nicht, ein System zur automatisierten Netzregelung sehr wohl. Die Abgrenzung verläuft entlang der Frage, ob das System sicherheitsrelevant in den Betrieb der Infrastruktur eingreift.

Die Verzahnung mit NIS2

Der Energiesektor ist nicht nur vom AI Act betroffen, sondern auch von der NIS2-Richtlinie, die Cybersicherheit für kritische und wichtige Einrichtungen regelt. Beide Regime überlappen: Der AI Act verlangt Robustheit und Sicherheit von Hochrisiko-KI, NIS2 verlangt umfassende Cybersicherheitsmassnahmen und Incident-Meldungen für die Einrichtung als Ganzes. Ein KI-Vorfall in der Netzsteuerung kann damit gleichzeitig eine AI-Act-Vorfallmeldung nach Art. 73 und eine NIS2-Meldung auslösen. Energieversorger profitieren deshalb davon, ihre KI-Governance und ihr Cybersicherheits-Management nicht getrennt, sondern integriert aufzubauen.

Robustheit und Cybersicherheit als Schwerpunkt

Während in anderen Sektoren oft die Grundrechtsdimension im Vordergrund steht, liegt der Schwerpunkt im Energiebereich auf Robustheit, Genauigkeit und Cybersicherheit der KI-Systeme. Ein Prognosemodell, das unter ungewöhnlichen Netzbedingungen versagt, oder ein Steuerungssystem, das durch manipulierte Eingabedaten in die Irre geführt werden kann, gefährdet die Versorgungssicherheit. Der AI Act verlangt für Hochrisiko-Systeme ausdrücklich angemessene Massnahmen gegen solche Schwachstellen — von der Widerstandsfähigkeit gegen Fehler bis zum Schutz vor adversen Angriffen, die das Modellverhalten gezielt manipulieren.

Menschliche Aufsicht im Netzbetrieb

Die Anforderung der menschlichen Aufsicht stellt Energieversorger vor eine besondere Herausforderung, weil viele Netzentscheidungen in Sekundenbruchteilen fallen müssen, in denen kein Mensch eingreifen kann. Der AI Act verlangt deshalb keine permanente manuelle Bestätigung jeder Entscheidung, sondern eine sinnvolle Aufsichtsarchitektur: die Möglichkeit, das System zu überwachen, seine Funktionsweise zu verstehen, im Bedarfsfall einzugreifen oder es abzuschalten, und seine Ausgaben kritisch einzuordnen. Für automatisierte Echtzeit-Regelung bedeutet das, klar definierte Grenzen und Eingriffsmöglichkeiten vorzusehen, innerhalb derer das System autonom handeln darf.

Daten-Governance bei Mess- und Sensordaten

KI im Energiesektor lebt von riesigen Mengen an Mess-, Sensor- und Marktdaten. Die Daten-Governance-Anforderungen des AI Act verlangen, dass die Trainings- und Eingabedaten relevant, repräsentativ und von angemessener Qualität sind. Für Energieversorger heisst das, die Herkunft und Qualität ihrer Datenquellen zu dokumentieren und Verzerrungen zu adressieren — etwa Prognosemodelle, die nur unter normalen Wetterbedingungen trainiert wurden und in Extremlagen versagen, gerade dann, wenn das Netz am verwundbarsten ist.

Compliance als Teil der Versorgungssicherheit

Für Energieversorger lohnt es sich, die AI-Act-Compliance nicht als regulatorische Last, sondern als Bestandteil der Versorgungssicherheit zu begreifen. Die verlangten Massnahmen — Robustheit, Aufsicht, Datenqualität, Vorfallbehandlung — sind genau die Eigenschaften, die ein KI-System haben muss, um im kritischen Netzbetrieb verantwortbar zu sein. Wer KI hier ohne diese Sorgfalt einsetzt, geht ein Betriebsrisiko ein, das weit über das Bussgeldrisiko hinausgeht. Compliance und Betriebssicherheit zeigen in dieselbe Richtung.

Was zu tun ist

Inventarisieren Sie alle KI-Anwendungen im Unternehmen und prüfen Sie, welche sicherheitsrelevant in den Betrieb kritischer Infrastruktur eingreifen — diese sind die Hochrisiko-Kandidaten. Verzahnen Sie die AI-Act-Anforderungen mit Ihrem bestehenden NIS2- und Cybersicherheits-Management, statt parallele Strukturen aufzubauen. Legen Sie besonderes Gewicht auf Robustheit, Cybersicherheit, eine echtzeittaugliche Aufsichtsarchitektur und die dokumentierte Qualität Ihrer Datenquellen. Dies ist eine fachliche Orientierung; die konkrete Einstufung Ihrer Systeme und die Abstimmung mit dem sektoralen Recht sollten Sie mit spezialisierter Beratung absichern.

Dokumentation für Audit und Aufsicht

Für Energieversorger, die ohnehin in einem stark regulierten und auditierten Umfeld arbeiten, ist die AI-Act-Dokumentation kein Fremdkörper, sondern fügt sich in vorhandene Strukturen ein. Bauen Sie die technische Dokumentation, das Risikomanagement und die Logging-Aufzeichnungen so auf, dass sie sowohl der Marktaufsicht nach AI Act als auch den sektoralen Aufsichtsbehörden und den NIS2-Prüfungen standhalten. Ein integriertes Compliance-Dossier pro Hochrisiko-System — das technische Beschreibung, Risikobewertung, Aufsichtskonzept und Vorfallhistorie bündelt — erspart die mehrfache Aufbereitung derselben Inhalte für verschiedene Prüfer und macht das Unternehmen prüffest über alle Regime hinweg.

Beginnen Sie pragmatisch mit den Systemen, die unmittelbar in den sicheren Netzbetrieb eingreifen, denn dort sind sowohl das Betriebsrisiko als auch der regulatorische Druck am höchsten. Aus dieser Priorisierung entsteht eine handhabbare Roadmap, die das Wichtigste zuerst absichert, statt sich in der Inventarisierung aller KI-Anwendungen des Unternehmens zu verlieren — die Bürobeleuchtungs-KI kann warten, die Netzregelung nicht.

Verstehen Sie die Compliance schliesslich als gemeinsame Aufgabe von IT, Betrieb und Recht. KI im Netzbetrieb berührt technische Robustheit, betriebliche Sicherheit und rechtliche Pflichten zugleich — eine Abteilung allein kann sie nicht verantworten. Etablieren Sie deshalb ein interdisziplinäres Gremium, das die Hochrisiko-Systeme gemeinsam bewertet und über ihren Einsatz entscheidet. Diese Zusammenarbeit ist nicht nur regulatorisch sinnvoll, sondern spiegelt die Realität wider, dass KI in der kritischen Infrastruktur an der Schnittstelle von Technik, Betrieb und Verantwortung steht.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Gründer & CEO · Innopulse Consulting

Gründer und leitender Ingenieur von Innopulse Consulting. MSc Innovation Management (FFHS). Autor von „Identity Over Discipline".

Topics
AI Act EnergieKI kritische InfrastrukturEnergieversorger ComplianceNetzbetrieb KI
Keep reading

Related insights.

EU AI Act

EU AI Act in Manufacturing: Predictive Maintenance, Quality, MES

Fertigungsunternehmen setzen KI in Predictive Maintenance, Qualitätskontrolle und MES ein. Welche Anwendungen sind EU-AI-Act-relevant, welche nicht.

Leutrim·5 min
EU AI Act

EU AI Act Konformitätsbewertung: CE-Kennzeichnung für Hochrisiko-KI

Artikel 43 verlangt eine Konformitätsbewertung vor dem Inverkehrbringen. Modul A (Interne Kontrolle) vs. Modul H1 (Qualitätsmanagementsystem). Der Prozess in Detail.

Leutrim·5 min
EU AI Act

EU AI Act: Meldepflicht bei schwerwiegenden Vorfällen (Art. 73)

Wann ein schwerwiegender Vorfall nach Art. 73 EU AI Act meldepflichtig wird, welche Fristen gelten und wie Sie einen belastbaren Incident-Reporting-Prozess aufbauen.

Leutrim·3 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch